প্রতি সপ্তাহেআমাদের ম্যালওয়্যার শনাক্তকরণ সিস্টেমগুলো npm এবং PyPI-এর মতো পাবলিক রেজিস্ট্রি জুড়ে হাজার হাজার নতুন এবং আপডেট করা প্যাকেজ স্ক্যান করে। এই সপ্তাহটিও তার ব্যতিক্রম ছিল না।
আমরা ২৬ জুন থেকে ৩ জুলাই, ২০২৬-এর মধ্যে npm এবং PyPI জুড়ে ৯০টিরও বেশি ক্ষতিকারক প্যাকেজ নিশ্চিত করেছি, যার মধ্যে বেশ কয়েকটি ক্যাম্পেইন আগের সপ্তাহগুলো থেকে চলছিল এবং নতুনগুলোরও উদ্ভব হয়েছিল।
সার্জারির nolimit-agent আমাদের বিস্তারিতভাবে নথিভুক্ত করা মাইক্রোসফট ৩৬৫ ডিভাইস-কোড ফিশিং ফ্রেমওয়ার্ককে আরও প্রসারিত করে, এই ক্যাম্পেইনটি নতুন সংস্করণ (১.০.৩০৬, ১.০.৩১৫, ১.০.৩১৬) প্রকাশ করা অব্যাহত রেখেছে। ডিভাইসডোর রিপোর্ট. দ্য anthropic-toolkit ক্লাস্টার ছিল প্রভাবশালী নতুন ক্যাম্পেইন, যার ২০টি সংস্করণ শুধু ৩০শে জুনেই নিশ্চিত করা হয়েছিল — যা সরাসরি অ্যানথ্রোপিকের ডেভেলপার টুলিংয়ের সাথে যুক্ত প্যাকেজগুলোকে লক্ষ্য করে তৈরি করা হয়েছিল। cursed-modules ফ্যামিলি ১ জুলাই থেকে ২ জুলাইয়ের মধ্যে উভয় প্ল্যাটফর্মে ১৫টিরও বেশি সংস্করণ প্রকাশ করেছে। standard এবং নির্ভরতা বিভ্রান্তির কৌশল অনুসরণ করে সংস্করণ নম্বর বাড়িয়ে দেওয়া (999.x)। date-fns-lite ক্লাস্টারটি (৫টি সংস্করণ, ২ জুলাই) বৈধ ও বহুল ব্যবহৃত ইউটিলিটি প্যাকেজগুলোর ছদ্মবেশ ধারণ করার ধারা অব্যাহত রেখেছে।
গত সপ্তাহে প্রতিষ্ঠিত এআই টুলিং টার্গেটিং প্যাটার্নের সাথে ollama-helpers এবং openai-agents-helpers এই সময়কালে প্রসারিত হয়েছে ai-explain, ai-sdk-helpers, এবং @langgraphjs/toolkit২৮ জুন থেকে ৩০ জুনের মধ্যে সবগুলো নিশ্চিত করা হয়েছে। @szc-ft/mcp-szcd-client প্যাকেজটি (সংস্করণ ০.৩৮.০ এবং ০.৩৯.০, ২ জুলাই নিশ্চিত) একটি নতুন প্যাটার্ন চালু করেছে যা আমরা ট্র্যাক করছি স্কিললিকএকটি ক্রেডেনশিয়াল ডিক্রিপ্টর যা ইনস্টল হুকের পরিবর্তে একটি এমসিপি স্কিলের ভিতরে লুকানো থাকে, এবং পোস্টইনস্টল পর্যায়ে থেমে যাওয়া স্ক্যানারদের কাছে অদৃশ্য। আমরা একটি প্রকাশ করেছি এখানে স্কিললিকের সম্পূর্ণ বিশ্লেষণ.
এই সাপ্তাহিক চিত্রটি আমাদের চলমান কার্যক্রমের একটি অংশ। ম্যালিসিয়াস কোড ডাইজেস্টযেখানে আমরা নতুন হুমকি যাচাই করি এবং DevSecOps টিমগুলোকে তাদের সুরক্ষায় সাহায্য করার জন্য কার্যকরী তথ্য সরবরাহ করি। pipelineক্ষতি হওয়ার আগেই। চলুন, এই সপ্তাহে আমরা যা খুঁজে পেয়েছি এবং কেন তা গুরুত্বপূর্ণ, তা বিশদভাবে আলোচনা করা যাক।
৯০টিরও বেশি প্যাকেজ। এক সপ্তাহ। Pipeline লক্ষ্যবস্তুটি হলো...
এই সপ্তাহের সারসংক্ষেপে আক্রমণকারীদের মনোযোগের একটি পরিবর্তন প্রতিফলিত হয়েছে, শুধু পরিমাণে নয়, বরং পূর্বপ্রস্তুতিতেও।cisঅভ্যন্তরীণ মোনোরেপো নেমস্পেসগুলোর বিরুদ্ধে ক্রমাগত ভার্সন ফ্লাডিং, এআই টুলিং ক্লাস্টার, এমসিপি-লেয়ার ক্রেডেনশিয়াল চুরি এবং ডিপেন্ডেন্সি কনফিউশন অ্যাটাক চালানো হয়। এই ক্যাম্পেইনগুলো স্বয়ংক্রিয় এবং অবিরাম। সাপ্তাহিক স্ক্যান কোনো সুরক্ষা ব্যবস্থা নয়।
জাইজেনি প্রাথমিক ম্যালওয়্যার সতর্কতা এটি রিয়েল টাইমে npm, PyPI এবং অন্যান্য রেজিস্ট্রি পর্যবেক্ষণ করে, এবং হুমকিগুলো প্রকাশের মুহূর্তেই চিহ্নিত করে—বিল্ডে পৌঁছানোর আগে, কোনো এআই এজেন্ট দ্বারা স্বয়ংক্রিয়ভাবে ইনস্টল হওয়ার আগে, এবং SkillLeak-এর মতো কোনো পেলোড কার্যকর হওয়ার সুযোগ পাওয়ার আগেই। যখন anthropic-toolkit একদিনে ২০টি সংস্করণ প্রকাশ করে অথবা cursed-modules দুই দিন ধরে npm-কে 999.x ভার্সন দিয়ে প্লাবিত করে, ঘটনা ঘটার পরে শনাক্তকরণ প্রক্রিয়া চালালে ততক্ষণে অনেক দেরি হয়ে যায়।
জাইজেনির Open Source Security এই প্ল্যাটফর্মটি DevSecOps টিমগুলোকে সমন্বিত সাপ্লাই চেইন চাপের চেয়ে এগিয়ে থাকার জন্য প্রয়োজনীয় রিয়েল-টাইম শনাক্তকরণ এবং অগ্রাধিকার নির্ধারণের সুবিধা দেয়, ফলে আপনার pipelineআপনার দলের গতি না কমিয়েই পরিষ্কার থাকুন।




